安全配置文件概览

安全配置文件是组织级政策容器，可供多种网络安全产品使用。安全配置文件用于定义网络安全集成服务中要监控和分析的网络流量范围。

使用安全配置文件的原因

您可以使用安全配置文件来指定匹配的镜像规则的操作。如果镜像规则未附加安全配置文件，集成服务就不知道将镜像流量发送到何处进行检查。

安全配置的工作原理

安全配置文件通过将网络资源附加到镜像防火墙规则来发挥作用。将安全配置文件附加到镜像防火墙规则时，该配置文件会执行两项关键功能：

• 路由流量：安全配置文件会识别与您的虚拟私有云 (VPC) 网络关联的端点组。端点组指向提供方的部署组。 此生产者的部署组用于整理网络资源（例如虚拟机 [VM]），并定义集成服务可监控的流量范围。

• 附加配置文件：镜像数据包携带安全配置文件组 data_path_id，可用于在收集器上强制执行政策。收集器是提供方网络中由用户管理的目标位置。 收集器从使用方网络接收镜像流量以供检查。

本文档概述了安全配置文件及其特定的配置功能。

规格

• 安全配置文件是组织级层资源。

• Network Security Integration 支持 CUSTOM_MIRRORING 类型的安全配置文件。

• 每个安全配置文件都由包含以下元素的网址唯一标识：

  • 组织 ID：组织的 ID。
  • 位置：安全配置文件的范围。位置始终设置为 global。
  • 名称：安全配置文件名称，格式如下：
    • 长度为 1-63 个字符的字符串
    • 只能包含小写字母数字字符或连字符 (-)
    • 必须以字母开头

• 如需为安全配置文件组构建唯一的网址标识符，请使用以下格式：

  organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME
  

  替换以下内容：

  • ORGANIZATION_ID：组织的 ID。

  • LOCATION：安全配置文件的范围。 位置始终设置为 global。

  • SECURITY_PROFILE_NAME：安全配置文件的名称。

  例如，组织 2345678432 中的 global 安全配置文件 example-security-profile 具有以下唯一标识符：

  organization/2345678432/locations/global/securityProfiles/example-security-profile
  

• 创建安全配置文件后，您可以选择将其附加到安全配置文件组。此安全配置文件组由您要在网络安全集成中处理网络流量的 VPC 网络的网络防火墙政策引用。

• 与网络防火墙政策规则匹配的流量会发送到安全配置文件引用的端点组。

• 每个安全配置文件都必须具有关联的项目 ID。关联项目用于安全配置文件资源的配额和访问权限限制。如果您使用 gcloud auth activate-service-account 命令对您的服务账号进行身份验证，则可以将您的服务账号与安全配置文件相关联。如需了解详情，请参阅创建和管理自定义安全配置文件。

Identity and Access Management 角色

Identity and Access Management (IAM) 角色控制以下安全配置文件操作：

• 在组织中创建自定义安全配置文件
• 修改或删除自定义安全配置文件
• 查看自定义安全配置文件的详细信息
• 查看组织中的自定义安全配置文件列表
• 在安全配置文件组中使用自定义安全配置文件

下表介绍了每个步骤所需的角色。

特性	必要角色
创建自定义安全配置文件	创建自定义安全配置文件的组织的 Security Profile Admin 角色 (networksecurity.securityProfileAdmin)。
修改自定义安全配置文件	创建自定义安全配置文件的组织的 Security Profile Admin 角色 (networksecurity.securityProfileAdmin)。
查看组织中自定义安全配置文件的详细信息	组织的以下角色之一： Security Profile Admin 角色 (networksecurity.securityProfileAdmin) Compute Network User 角色 (compute.networkUser) Compute Network Viewer 角色 (compute.networkViewer)
查看组织中的所有自定义安全配置文件	拥有组织的以下任何角色： Security Profile Admin 角色 (networksecurity.securityProfileAdmin) Compute Network User 角色 (compute.networkUser) Compute Network Viewer 角色 (compute.networkViewer)
在安全配置文件组中使用自定义安全配置文件	拥有组织的以下任何角色： Security Profile Admin 角色 (networksecurity.securityProfileAdmin) Compute Network User 角色 (compute.networkUser)

如果您没有安全配置文件管理员角色 (roles/networksecurity.securityProfileAdmin)，则可以凭借以下权限创建和管理自定义安全配置文件：

• networksecurity.securityProfiles.create
• networksecurity.securityProfiles.delete
• networksecurity.securityProfiles.get
• networksecurity.securityProfiles.list
• networksecurity.securityProfiles.update
• networksecurity.securityProfiles.use

如需详细了解 IAM 权限和预定义角色，请参阅 IAM 权限参考文档。

配额

如需查看与自定义安全配置文件关联的配额，请参阅配额和限制。

后续步骤

• 创建和管理安全配置文件组
• 创建和管理自定义镜像安全配置文件